<!DOCTYPE html>
<html lang="zh-CN">
<head>
  <meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=2">
<meta name="theme-color" content="#222">
<meta name="generator" content="Hexo 4.2.0">
  <link rel="apple-touch-icon" sizes="180x180" href="/images/favicon.png">
  <link rel="icon" type="image/png" sizes="32x32" href="/images/favicon.png">
  <link rel="icon" type="image/png" sizes="16x16" href="/images/favicon.png">
  <link rel="mask-icon" href="/images/favicon.png" color="#222">

<link rel="stylesheet" href="/css/main.css">


<link rel="stylesheet" href="/lib/font-awesome/css/font-awesome.min.css">
  <link rel="stylesheet" href="//cdn.jsdelivr.net/gh/fancyapps/fancybox@3/dist/jquery.fancybox.min.css">


<script id="hexo-configurations">
  var NexT = window.NexT || {};
  var CONFIG = {
    hostname: new URL('https://codz-me.vercel.app').hostname,
    root: '/',
    scheme: 'Muse',
    version: '7.7.1',
    exturl: false,
    sidebar: {"position":"right","display":"post","padding":18,"offset":12,"onmobile":false},
    copycode: {"enable":false,"show_result":false,"style":null},
    back2top: {"enable":true,"sidebar":false,"scrollpercent":false},
    bookmark: {"enable":false,"color":"#222","save":"auto"},
    fancybox: true,
    mediumzoom: false,
    lazyload: false,
    pangu: false,
    comments: {"style":"tabs","active":null,"storage":true,"lazyload":false,"nav":null},
    algolia: {
      appID: '',
      apiKey: '',
      indexName: '',
      hits: {"per_page":10},
      labels: {"input_placeholder":"Search for Posts","hits_empty":"We didn't find any results for the search: ${query}","hits_stats":"${hits} results found in ${time} ms"}
    },
    localsearch: {"enable":false,"trigger":"auto","top_n_per_article":1,"unescape":false,"preload":false},
    path: '',
    motion: {"enable":true,"async":false,"transition":{"post_block":"fadeIn","post_header":"slideDownIn","post_body":"slideDownIn","coll_header":"slideLeftIn","sidebar":"slideUpIn"}}
  };
</script>

  <meta name="description" content="禁止一切外链资源外链会产生站外请求，因此可以被利用实施 CSRF 攻击。 目前国内有大量路由器存在 CSRF 漏洞，其中相当部分用户使用默认的管理账号。通过外链图片，即可发起对路由器 DNS 配置的修改，这将成为国内互联网最大的安全隐患。 案例演示百度旅游在富文本过滤时，未考虑标签的 style 属性，导致允许用户自定义的 CSS。因此可以插入站外资源：所有浏览该页面的用户，都能发起任意 URL">
<meta property="og:type" content="article">
<meta property="og:title" content="[转]Web前端攻防（2014版）">
<meta property="og:url" content="https://codz-me.vercel.app/2015/06/10/web-front-end-security/index.html">
<meta property="og:site_name" content="Code Is Poetry">
<meta property="og:description" content="禁止一切外链资源外链会产生站外请求，因此可以被利用实施 CSRF 攻击。 目前国内有大量路由器存在 CSRF 漏洞，其中相当部分用户使用默认的管理账号。通过外链图片，即可发起对路由器 DNS 配置的修改，这将成为国内互联网最大的安全隐患。 案例演示百度旅游在富文本过滤时，未考虑标签的 style 属性，导致允许用户自定义的 CSS。因此可以插入站外资源：所有浏览该页面的用户，都能发起任意 URL">
<meta property="og:locale" content="zh_CN">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/route-csrf/1.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/route-csrf/2.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/route-csrf/3.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/route-csrf/4.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/richtext/1.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/richtext/2.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/richtext/3.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/chg-opener/1.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/chg-opener/2.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/chg-opener/3.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/decorate-limit/out-of-bound.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/decorate-limit/download-phishing-1.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/decorate-limit/download-phishing-2.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/decorate-limit/plugin-phishing-1.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/decorate-limit/plugin-phishing-2.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/clickjacking/1.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/clickjacking/2.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014//clickjacking/3.jpg">
<meta property="og:image" content="http://fex.baidu.com/img/web-sec-2014/clickjacking/4.jpg">
<meta property="article:published_time" content="2015-06-10T15:32:00.000Z">
<meta property="article:modified_time" content="2015-08-17T02:37:12.000Z">
<meta property="article:author" content="laudukang">
<meta property="article:tag" content="web">
<meta property="article:tag" content="security">
<meta name="twitter:card" content="summary">
<meta name="twitter:image" content="http://fex.baidu.com/img/web-sec-2014/route-csrf/1.jpg">

<link rel="canonical" href="https://codz-me.vercel.app/2015/06/10/web-front-end-security/">


<script id="page-configurations">
  // https://hexo.io/docs/variables.html
  CONFIG.page = {
    sidebar: "",
    isHome: false,
    isPost: true
  };
</script>

  <title>[转]Web前端攻防（2014版） | Code Is Poetry</title>
  






  <noscript>
  <style>
  .use-motion .brand,
  .use-motion .menu-item,
  .sidebar-inner,
  .use-motion .post-block,
  .use-motion .pagination,
  .use-motion .comments,
  .use-motion .post-header,
  .use-motion .post-body,
  .use-motion .collection-header { opacity: initial; }

  .use-motion .site-title,
  .use-motion .site-subtitle {
    opacity: initial;
    top: initial;
  }

  .use-motion .logo-line-before i { left: initial; }
  .use-motion .logo-line-after i { right: initial; }
  </style>
</noscript>

</head>

<body itemscope itemtype="http://schema.org/WebPage">
  <div class="container use-motion">
    <div class="headband"></div>

    <header class="header" itemscope itemtype="http://schema.org/WPHeader">
      <div class="header-inner"><div class="site-brand-container">
  <div class="site-meta">

    <div>
      <a href="/" class="brand" rel="start">
        <span class="logo-line-before"><i></i></span>
        <span class="site-title">Code Is Poetry</span>
        <span class="logo-line-after"><i></i></span>
      </a>
    </div>
  </div>

  <div class="site-nav-toggle">
    <div class="toggle" aria-label="切换导航栏">
      <span class="toggle-line toggle-line-first"></span>
      <span class="toggle-line toggle-line-middle"></span>
      <span class="toggle-line toggle-line-last"></span>
    </div>
  </div>
</div>


<nav class="site-nav">
  
  <ul id="menu" class="menu">
        <li class="menu-item menu-item-home">

    <a href="/" rel="section"><i class="fa fa-fw fa-home"></i>首页</a>

  </li>
        <li class="menu-item menu-item-about">

    <a href="/about/" rel="section"><i class="fa fa-fw fa-user"></i>关于</a>

  </li>
        <li class="menu-item menu-item-tags">

    <a href="/tags/" rel="section"><i class="fa fa-fw fa-tags"></i>标签</a>

  </li>
        <li class="menu-item menu-item-categories">

    <a href="/categories/" rel="section"><i class="fa fa-fw fa-th"></i>分类</a>

  </li>
        <li class="menu-item menu-item-archives">

    <a href="/archives/" rel="section"><i class="fa fa-fw fa-archive"></i>归档</a>

  </li>
        <li class="menu-item menu-item-commonweal">

    <a href="/404/" rel="section"><i class="fa fa-fw fa-heartbeat"></i>公益 404</a>

  </li>
  </ul>

</nav>
</div>
    </header>

    
  <div class="back-to-top">
    <i class="fa fa-arrow-up"></i>
    <span>0%</span>
  </div>
  <div class="reading-progress-bar"></div>


    <main class="main">
      <div class="main-inner">
        <div class="content-wrap">
          

          <div class="content">
            

  <div class="posts-expand">
      
  
  
  <article itemscope itemtype="http://schema.org/Article" class="post-block " lang="zh-CN">
    <link itemprop="mainEntityOfPage" href="https://codz-me.vercel.app/2015/06/10/web-front-end-security/">

    <span hidden itemprop="author" itemscope itemtype="http://schema.org/Person">
      <meta itemprop="image" content="/images/head.png">
      <meta itemprop="name" content="laudukang">
      <meta itemprop="description" content="Bug Not Found">
    </span>

    <span hidden itemprop="publisher" itemscope itemtype="http://schema.org/Organization">
      <meta itemprop="name" content="Code Is Poetry">
    </span>
      <header class="post-header">
        <h1 class="post-title" itemprop="name headline">
          [转]Web前端攻防（2014版）
        </h1>

        <div class="post-meta">
              <span class="post-meta-item">
                <span class="post-meta-item-icon">
                  <i class="fa fa-calendar-check-o"></i>
                </span>
                <span class="post-meta-item-text">更新于</span>
                <time title="修改时间：2015-08-17 10:37:12 10:37:12" itemprop="dateModified" datetime="2015-08-17T10:37:12+08:00">2015-08-17 10:37:12</time>
              </span>
            <span class="post-meta-item">
              <span class="post-meta-item-icon">
                <i class="fa fa-folder-o"></i>
              </span>
              <span class="post-meta-item-text">分类于</span>
                <span itemprop="about" itemscope itemtype="http://schema.org/Thing">
                  <a href="/categories/Linux/" itemprop="url" rel="index">
                    <span itemprop="name">Linux</span>
                  </a>
                </span>
            </span>

          
            <span id="/2015/06/10/web-front-end-security/" class="post-meta-item leancloud_visitors" data-flag-title="[转]Web前端攻防（2014版）" title="阅读次数">
                <span hidden class="leancloud-visitors-count"></span>
            </span>

        </div>
      </header>

    
    
    
    <div class="post-body" itemprop="articleBody">

      
        <h2 id="禁止一切外链资源"><a href="#禁止一切外链资源" class="headerlink" title="禁止一切外链资源"></a>禁止一切外链资源</h2><p>外链会产生站外请求，因此可以被利用实施 CSRF 攻击。</p>
<p>目前国内有大量路由器存在 CSRF 漏洞，其中相当部分用户使用默认的管理账号。通过外链图片，即可发起对路由器 DNS 配置的修改，这将成为国内互联网最大的安全隐患。</p>
<h3 id="案例演示"><a href="#案例演示" class="headerlink" title="案例演示"></a>案例演示</h3><p>百度旅游在富文本过滤时，未考虑标签的 style 属性，导致允许用户自定义的 CSS。因此可以插入站外资源：<br><img src="http://fex.baidu.com/img/web-sec-2014/route-csrf/1.jpg" alt="Web前端攻防（2014版） 第1张" title="Web前端攻防（2014版） 第1张"><br>所有浏览该页面的用户，都能发起任意 URL 的请求：<br><img src="http://fex.baidu.com/img/web-sec-2014/route-csrf/2.jpg" alt="Web前端攻防（2014版） 第2张" title="Web前端攻防（2014版） 第2张"><br>由于站外服务器完全不受控制，攻击者可以控制返回内容：</p>
<ul>
<li>如果检测到是管理员，或者外链检查服务器，可以返回正常图片；</li>
<li>如果是普通用户，可以返回 302 重定向到其他 URL，发起 CSRF 攻击。例如修改路由器 DNS：</li>
</ul>
<figure class="highlight sas"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">http://admin:admin@192.168.1.1/userRpm/PPPoECfgAdvRpm.htm?wan=0<span class="variable">&amp;lcpMru</span>=1480<span class="variable">&amp;ServiceName</span>=<span class="variable">&amp;AcName</span>=<span class="variable">&amp;EchoReq</span>=0<span class="variable">&amp;manual</span>=2<span class="variable">&amp;dnsserver</span>=黑客服务器<span class="variable">&amp;dnsserver2</span>=4.4.4.4<span class="variable">&amp;downBandwidth</span>=0<span class="variable">&amp;upBandwidth</span>=0<span class="variable">&amp;Save</span>=<span class="name">%B1</span><span class="name">%A3</span>+<span class="name">%B4</span><span class="name">%E6</span><span class="variable">&amp;Advanced</span>=Advanced</span><br></pre></td></tr></table></figure>

<p><img src="http://fex.baidu.com/img/web-sec-2014/route-csrf/3.jpg" alt="Web前端攻防（2014版） 第3张" title="Web前端攻防（2014版） 第3张"><br>演示中，随机测试了几个帖子，在两天时间里收到图片请求 500 多次，已有近 10 个不同的 IP 开始向我们发起 DNS 查询。<br><img src="http://fex.baidu.com/img/web-sec-2014/route-csrf/4.jpg" alt="Web前端攻防（2014版） 第4张" title="Web前端攻防（2014版） 第4张"><br>通过中间人代理，用户的所有隐私都能被捕捉到。还有更严重的后果，查考<a href="http://fex.baidu.com/blog/2014/04/traffic-hijack-2/" target="_blank" rel="noopener">流量劫持危害探讨</a></p>
<p>要是在热帖里『火前留名』，那么数量远不止这些。</p>
<p>如果使用发帖脚本批量回复，将有数以万计的用户网络被劫持。</p>
<h3 id="防范措施"><a href="#防范措施" class="headerlink" title="防范措施"></a>防范措施</h3><p>杜绝用户的一切外链资源。需要站外图片，可以抓回后保存在站内服务器里。</p>
<p>对于富文本内容，使用白名单策略，只允许特定的 CSS 属性。</p>
<p>尽可能开启 Content Security Policy 配置，让浏览器底层来实现站外资源的拦截。</p>
<h2 id="富文本前端扫描"><a href="#富文本前端扫描" class="headerlink" title="富文本前端扫描"></a>富文本前端扫描</h2><p>富文本是 XSS 的重灾区。</p>
<p>富文本的实质是一段 HTML 字符。由于历史原因，HTML 兼容众多不规范的用法，导致过滤起来较复杂。几乎所有使用富文本的产品，都曾出现过 XSS 注入。</p>
<h3 id="案例演示-1"><a href="#案例演示-1" class="headerlink" title="案例演示"></a>案例演示</h3><p>旅游发帖支持富文本，我们继续刚才的演示。<br><img src="http://fex.baidu.com/img/web-sec-2014/richtext/1.jpg" alt="Web前端攻防（2014版） 第5张" title="Web前端攻防（2014版） 第5张"><br>由于之前已修复过几次，目前只能注入 embed 标签和 src 属性。</p>
<p>但即使这样，仍然可以嵌入一个框架页面：<br><img src="http://fex.baidu.com/img/web-sec-2014/richtext/2.jpg" alt="Web前端攻防（2014版） 第6张" title="Web前端攻防（2014版） 第6张"><br>因为是非同源执行的 XSS，所以无法获取主页面的信息。但是可以修改 top.location，将页面跳转到第三方站点。</p>
<p>将原页面嵌入到全屏的 iframe 里，伪造出相同的界面。然后通过浮层登录框，进行钓鱼。<br><img src="http://fex.baidu.com/img/web-sec-2014/richtext/3.jpg" alt="Web前端攻防（2014版） 第7张" title="Web前端攻防（2014版） 第7张"><br>总之，富文本中出现可执行的元素，页面安全性就大打折扣了。</p>
<h3 id="防范措施-1"><a href="#防范措施-1" class="headerlink" title="防范措施"></a>防范措施</h3><p>这里不考虑后端的过滤方法，讲解使用前端预防方案：</p>
<p>无论攻击者使用各种取巧的手段，绕过后端过滤，但这些 HTML 字符最终都要在前端构造成元素，并渲染出来。</p>
<p>因此可以在 DOM 构造之后、渲染之前，对离屏的元素进行风险扫描。将可执行的元素（script，iframe，frame，object，embed，applet）从缓存中移除。</p>
<p>或者给存在风险的元素，加上沙箱隔离属性。</p>
<ul>
<li>例如 iframe 加上 sandbox 属性，即可只显示框架内容而不运行脚本</li>
<li>例如 Flash 加上 allowScriptAccess 及 allowNetworking，也能起到一定的隔离作用。</li>
</ul>
<p>DOM 仅仅被构造是不会执行的，只有添加到主节点被渲染时才会执行。所以这个过程中间，可以实施安全扫描。</p>
<p>实现细节可以参考：<a href="http://www.etherdream.com/FunnyScript/richtext_safe_render.html" target="_blank" rel="noopener">http://www.etherdream.com/FunnyScript/richtextsaferender.html</a></p>
<p>如果富文本是直接输入到静态页面里的，可以考虑使用 MutationEvent 进行防御。详细参考：<a href="http://fex.baidu.com/blog/2014/06/xss-frontend-firewall-2/" target="_blank" rel="noopener">http://fex.baidu.com/blog/2014/06/xss-frontend-firewall-2/</a></p>
<p>但推荐使用动态方式进行渲染，可扩展性更强，并且性能消耗最小。</p>
<h2 id="跳转-opener-钓鱼"><a href="#跳转-opener-钓鱼" class="headerlink" title="跳转 opener 钓鱼"></a>跳转 opener 钓鱼</h2><p>浏览器提供了一个 opener 属性，供弹出的窗口访问来源页。但该规范设计的并不合理，导致通过超链接打开的页面，也能使用 opener。</p>
<p>因此，用户点了网站里的超链接，导致原页面被打开的第三方页面控制。</p>
<p>虽然两者受到同源策略的限制，第三方无法访问原页面内容，但可以跳转原页面。</p>
<p>由于用户的焦点在新打开的页面上，所以原页面被悄悄跳转，用户难以觉察到。当用户切回原页面时，其实已经在另一个钓鱼网站上了。</p>
<h3 id="案例演示-2"><a href="#案例演示-2" class="headerlink" title="案例演示"></a>案例演示</h3><p>百度贴吧目前使用的超链接，就是在新窗口中弹出，因此同样存在该缺陷。</p>
<p>攻击者发一个吸引用户的帖子。当用户进来时，引诱他们点击超链接。</p>
<p>通常故意放少部分的图片，或者是不会动的动画，先让用户预览一下。要是用户想看完整的，就得点下面的超链接：<br><img src="http://fex.baidu.com/img/web-sec-2014/chg-opener/1.jpg" alt="Web前端攻防（2014版） 第8张" title="Web前端攻防（2014版） 第8张"><br>由于扩展名是 gif 等图片格式，大多用户就毫无顾虑的点了。</p>
<p>事实上，真正的类型是由服务器返回的 MIME 决定的。所以这个站外资源完全有可能是一个网页：<br><img src="http://fex.baidu.com/img/web-sec-2014/chg-opener/2.jpg" alt="Web前端攻防（2014版） 第9张" title="Web前端攻防（2014版） 第9张"><br>当用户停留在新页面里看动画时，隐匿其中的脚本已悄悄跳转原页面了。</p>
<p>用户切回原页面时，其实已在一个钓鱼网站上：<br><img src="http://fex.baidu.com/img/web-sec-2014/chg-opener/3.jpg" alt="Web前端攻防（2014版） 第10张" title="Web前端攻防（2014版） 第10张"><br>在此之上，加些浮层登录框等特效，很有可能钓到用户的一些账号信息。</p>
<h3 id="防范措施-2"><a href="#防范措施-2" class="headerlink" title="防范措施"></a>防范措施</h3><p>该缺陷是因为 opener 这个属性引起的，所以得屏蔽掉新页面的这个属性。</p>
<p>但通过超链接打开的网页，无法被脚本访问到。只有通过 window.open 弹出的窗口，才能获得其对象。</p>
<p>所以，对页面中的用户发布的超链接，监听其点击事件，阻止默认的弹窗行为，而是用 window.open 代替，并将返回窗体的 opener 设置为 null，即可避免第三方页面篡改了。</p>
<p>详细实现参考：<a href="http://www.etherdream.com/FunnyScript/opener_protect.html" target="_blank" rel="noopener">http://www.etherdream.com/FunnyScript/opener_protect.html</a></p>
<p>当然，实现中无需上述 Demo 那样复杂。根据实际产品线，只要监听用户区域的超链接就可以。</p>
<h2 id="用户内容权限"><a href="#用户内容权限" class="headerlink" title="用户内容权限"></a>用户内容权限</h2><p>支持自定义装扮的场合，往往是钓鱼的高发区。</p>
<p>一些别有用心者，利用装扮来模仿系统界面，引诱用户上钩。</p>
<h3 id="案例演示-空间越界"><a href="#案例演示-空间越界" class="headerlink" title="案例演示 - 空间越界"></a>案例演示 - 空间越界</h3><p>百度空间允许用户撰写自定格式的内容。</p>
<p>其本质是一个富文本编辑器，这里不演示 XSS 漏洞，而是利用样式装扮，伪装一个钓鱼界面。</p>
<p>百度空间富文本过滤元素、部分属性及 CSS 样式，但未对 class 属性启用白名单，因此可以将页面上所有的 CSS 类样式，应用到自己的内容上来。<br><img src="http://fex.baidu.com/img/web-sec-2014/decorate-limit/out-of-bound.jpg" alt="Web前端攻防（2014版） 第11张" title="Web前端攻防（2014版） 第11张"></p>
<h3 id="防范措施-3"><a href="#防范措施-3" class="headerlink" title="防范措施"></a>防范措施</h3><p>规定用户内容尺寸限制，可以在提交时由用户自己确定。</p>
<p>不应该为用户的内容分配无限的尺寸空间，以免恶意用户设置超大字体，破坏整个页面的浏览。</p>
<p>最好将用户自定义的内容嵌套在 iframe 里，以免影响到页面其他部位。</p>
<p>如果必须在同页面，应将用户内容所在的容器，设置超过部分不可见。以免因不可预测的 BUG，导致用户能将内容越界到产品界面上。</p>
<h3 id="案例演示-功能越界"><a href="#案例演示-功能越界" class="headerlink" title="案例演示 - 功能越界"></a>案例演示 - 功能越界</h3><p>自定义装扮通常支持站外超链接。</p>
<p>相比贴吧这类简单纯文字，富文本可以将超链接设置在其他元素上，例如图片。</p>
<p>因此这类链接非常具有迷惑性，用户不经意间就点击到。很容易触发之前提到的修改 opener 钓鱼。<br><img src="http://fex.baidu.com/img/web-sec-2014/decorate-limit/download-phishing-1.jpg" alt="Web前端攻防（2014版） 第12张" title="Web前端攻防（2014版） 第12张"><br>如果在图片内容上进行伪装，更容易让用户触发一些危险操作。<br><img src="http://fex.baidu.com/img/web-sec-2014/decorate-limit/download-phishing-2.jpg" alt="Web前端攻防（2014版） 第13张" title="Web前端攻防（2014版） 第13张"><br>要是和之前的区域越界配合使用，迷惑性则更强：<br><img src="http://fex.baidu.com/img/web-sec-2014/decorate-limit/plugin-phishing-1.jpg" alt="Web前端攻防（2014版） 第14张" title="Web前端攻防（2014版） 第14张"><br><img src="http://fex.baidu.com/img/web-sec-2014/decorate-limit/plugin-phishing-2.jpg" alt="Web前端攻防（2014版） 第15张" title="Web前端攻防（2014版） 第15张"></p>
<h3 id="防范措施-4"><a href="#防范措施-4" class="headerlink" title="防范措施"></a>防范措施</h3><p>和之前一样，对于用户提供的超链接，在点击时进行扫描。如果是站外地址，则通过后台跳转进入，以便后端对 URL 进行安全性扫描。</p>
<p>如果服务器检测到是一个恶意网站，或者目标资源是可执行文件，应给予用户强烈的警告，告知其风险。</p>
<h2 id="点击劫持检测"><a href="#点击劫持检测" class="headerlink" title="点击劫持检测"></a>点击劫持检测</h2><p>点击劫持算是比较老的攻击方式了，基本原理大家也都听说过。就是在用户不知情的前提下，点击隐藏框架页面里的按钮，触发一些重要操作。</p>
<p>但目前在点击劫持上做防御的并不多，包括百度绝大多数产品线目前都未考虑。</p>
<h3 id="案例演示-3"><a href="#案例演示-3" class="headerlink" title="案例演示"></a>案例演示</h3><p>能直接通过点击完成的操作，比较有意义的就是关注某用户。例如百度贴吧加关注的按钮：<br><img src="http://fex.baidu.com/img/web-sec-2014/clickjacking/1.jpg" alt="Web前端攻防（2014版） 第16张" title="Web前端攻防（2014版） 第16张"><br>攻击者事先算出目标按钮的尺寸和坐标，将页面嵌套在自己框架里，并设置框架的偏移，最终只显示按钮：<br><img src="http://fex.baidu.com/img/web-sec-2014/clickjacking/2.jpg" alt="Web前端攻防（2014版） 第17张" title="Web前端攻防（2014版） 第17张"><br>接着通过 CSS 样式，将目标按钮放大，占据整个页面空间，并设置全透明。<br><img src="http://fex.baidu.com/img/web-sec-2014//clickjacking/3.jpg" alt="Web前端攻防（2014版） 第18张" title="Web前端攻防（2014版） 第18张"><br>这时虽看不到按钮，但点击页面任意位置，都能触发框架页中加关注按钮的点击：<br><img src="http://fex.baidu.com/img/web-sec-2014/clickjacking/4.jpg" alt="Web前端攻防（2014版） 第19张" title="Web前端攻防（2014版） 第19张"></p>
<h3 id="防范措施-5"><a href="#防范措施-5" class="headerlink" title="防范措施"></a>防范措施</h3><p>事实上，点击劫持是很好防御的。</p>
<p>因为自身页面被嵌套在第三方页面里，只需判断 self == top 即可获知是否被嵌套。</p>
<p>对一些重要的操作，例如加关注、删帖等，应先验证是否被嵌套。如果处于第三方页面的框架里，应弹出确认框提醒用户。</p>
<p>确认框的坐标位置最好有一定的随机偏移，从而使攻击者构造的点击区域失效。</p>
<div id="dxseo-related-posts" style="clear:both;">

<h3 id="相关文章"><a href="#相关文章" class="headerlink" title="相关文章"></a>相关文章</h3><ul>
<li><a href="http://www.he11oworld.com/ebook/1402.html" target="_blank" rel="noopener" title="小小黑客之路 黑客工具、攻防及防火墙编程入门">小小黑客之路 黑客工具、攻防及防火墙编程入门</a></li>
<li><a href="http://www.he11oworld.com/anquan/shentou/1235" target="_blank" rel="noopener" title="风云网络VIP网站攻防安全课程">风云网络VIP网站攻防安全课程</a></li>
<li><a href="http://www.he11oworld.com/front-end/2653.html" target="_blank" rel="noopener" title="Web前端开发视频教程 价值2200元前端专业课">Web前端开发视频教程 价值2200元前端专业课</a></li>
<li><a href="http://www.he11oworld.com/anquan/shentou/1256" target="_blank" rel="noopener" title="黑客攻防之网站攻防修炼">黑客攻防之网站攻防修炼</a></li>
<li><a href="http://www.he11oworld.com/ebook/1067.html" target="_blank" rel="noopener" title="无线网络安全攻防实战完整版">无线网络安全攻防实战完整版</a></li>
</ul>
<p>reference:</p>
<ul>
<li><a href="http://www.he11oworld.com/security/1114.html" target="_blank" rel="noopener">http://www.he11oworld.com/security/1114.html</a></li>
</ul>

    </div>

    
    
    

      <footer class="post-footer">
          <div class="post-tags">
              <a href="/tags/web/" rel="tag"># web</a>
              <a href="/tags/security/" rel="tag"># security</a>
          </div>

        


        
    <div class="post-nav">
      <div class="post-nav-item">
    <a href="/2015/06/05/chrome-skills-repost/" rel="prev" title="[转]史上最全的Chrome使用技巧集锦">
      <i class="fa fa-chevron-left"></i> [转]史上最全的Chrome使用技巧集锦
    </a></div>
      <div class="post-nav-item">
    <a href="/2015/06/23/update-ubuntu-user-path-from-zh-to-en/" rel="next" title="中文 Ubuntu 用户目录里路径改成英文">
      中文 Ubuntu 用户目录里路径改成英文 <i class="fa fa-chevron-right"></i>
    </a></div>
    </div>
      </footer>
    
  </article>
  
  
  

  </div>


          </div>
          

<script>
  window.addEventListener('tabs:register', () => {
    let activeClass = CONFIG.comments.activeClass;
    if (CONFIG.comments.storage) {
      activeClass = localStorage.getItem('comments_active') || activeClass;
    }
    if (activeClass) {
      let activeTab = document.querySelector(`a[href="#comment-${activeClass}"]`);
      if (activeTab) {
        activeTab.click();
      }
    }
  });
  if (CONFIG.comments.storage) {
    window.addEventListener('tabs:click', event => {
      if (!event.target.matches('.tabs-comment .tab-content .tab-pane')) return;
      let commentClass = event.target.classList[1];
      localStorage.setItem('comments_active', commentClass);
    });
  }
</script>

        </div>
          
  
  <div class="toggle sidebar-toggle">
    <span class="toggle-line toggle-line-first"></span>
    <span class="toggle-line toggle-line-middle"></span>
    <span class="toggle-line toggle-line-last"></span>
  </div>

  <aside class="sidebar">
    <div class="sidebar-inner">

      <ul class="sidebar-nav motion-element">
        <li class="sidebar-nav-toc">
          文章目录
        </li>
        <li class="sidebar-nav-overview">
          站点概览
        </li>
      </ul>

      <!--noindex-->
      <div class="post-toc-wrap sidebar-panel">
          <div class="post-toc motion-element"><ol class="nav"><li class="nav-item nav-level-2"><a class="nav-link" href="#禁止一切外链资源"><span class="nav-number">1.</span> <span class="nav-text">禁止一切外链资源</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#案例演示"><span class="nav-number">1.1.</span> <span class="nav-text">案例演示</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#防范措施"><span class="nav-number">1.2.</span> <span class="nav-text">防范措施</span></a></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#富文本前端扫描"><span class="nav-number">2.</span> <span class="nav-text">富文本前端扫描</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#案例演示-1"><span class="nav-number">2.1.</span> <span class="nav-text">案例演示</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#防范措施-1"><span class="nav-number">2.2.</span> <span class="nav-text">防范措施</span></a></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#跳转-opener-钓鱼"><span class="nav-number">3.</span> <span class="nav-text">跳转 opener 钓鱼</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#案例演示-2"><span class="nav-number">3.1.</span> <span class="nav-text">案例演示</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#防范措施-2"><span class="nav-number">3.2.</span> <span class="nav-text">防范措施</span></a></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#用户内容权限"><span class="nav-number">4.</span> <span class="nav-text">用户内容权限</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#案例演示-空间越界"><span class="nav-number">4.1.</span> <span class="nav-text">案例演示 - 空间越界</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#防范措施-3"><span class="nav-number">4.2.</span> <span class="nav-text">防范措施</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#案例演示-功能越界"><span class="nav-number">4.3.</span> <span class="nav-text">案例演示 - 功能越界</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#防范措施-4"><span class="nav-number">4.4.</span> <span class="nav-text">防范措施</span></a></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#点击劫持检测"><span class="nav-number">5.</span> <span class="nav-text">点击劫持检测</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#案例演示-3"><span class="nav-number">5.1.</span> <span class="nav-text">案例演示</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#防范措施-5"><span class="nav-number">5.2.</span> <span class="nav-text">防范措施</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#相关文章"><span class="nav-number">5.3.</span> <span class="nav-text">相关文章</span></a></li></ol></li></ol></div>
      </div>
      <!--/noindex-->

      <div class="site-overview-wrap sidebar-panel">
        <div class="site-author motion-element" itemprop="author" itemscope itemtype="http://schema.org/Person">
    <img class="site-author-image" itemprop="image" alt="laudukang"
      src="/images/head.png">
  <p class="site-author-name" itemprop="name">laudukang</p>
  <div class="site-description" itemprop="description">Bug Not Found</div>
</div>
<div class="site-state-wrap motion-element">
  <nav class="site-state">
      <div class="site-state-item site-state-posts">
          <a href="/archives/">
        
          <span class="site-state-item-count">68</span>
          <span class="site-state-item-name">日志</span>
        </a>
      </div>
      <div class="site-state-item site-state-categories">
            <a href="/categories/">
          
        <span class="site-state-item-count">10</span>
        <span class="site-state-item-name">分类</span></a>
      </div>
      <div class="site-state-item site-state-tags">
            <a href="/tags/">
          
        <span class="site-state-item-count">25</span>
        <span class="site-state-item-name">标签</span></a>
      </div>
  </nav>
</div>
  <div class="links-of-author motion-element">
      <span class="links-of-author-item">
        <a href="https://github.com/laudukang" title="GitHub → https:&#x2F;&#x2F;github.com&#x2F;laudukang" rel="noopener" target="_blank"><i class="fa fa-fw fa-github"></i>GitHub</a>
      </span>
      <span class="links-of-author-item">
        <a href="https://gitee.com/laudukang" title="Gitee → https:&#x2F;&#x2F;gitee.com&#x2F;laudukang" rel="noopener" target="_blank"><i class="fa fa-fw fa-github-alt"></i>Gitee</a>
      </span>
      <span class="links-of-author-item">
        <a href="https://stackoverflow.com/users/5621049/laudukang" title="StackOverflow → https:&#x2F;&#x2F;stackoverflow.com&#x2F;users&#x2F;5621049&#x2F;laudukang" rel="noopener" target="_blank"><i class="fa fa-fw fa-stack-overflow"></i>StackOverflow</a>
      </span>
      <span class="links-of-author-item">
        <a href="https://www.google.com/maps/place/%E6%B7%B1%E5%9C%B3%E5%B8%82%E8%BD%AF%E4%BB%B6%E4%BA%A7%E4%B8%9A%E5%9F%BA%E5%9C%B0/@22.5244896,113.9382973,17z/data=!3m1!4b1!4m5!3m4!1s0x3403ee17d008a019:0xbb7b06b73d856c14!8m2!3d22.5244896!4d113.9382973" title="Map → https:&#x2F;&#x2F;www.google.com&#x2F;maps&#x2F;place&#x2F;%E6%B7%B1%E5%9C%B3%E5%B8%82%E8%BD%AF%E4%BB%B6%E4%BA%A7%E4%B8%9A%E5%9F%BA%E5%9C%B0&#x2F;@22.5244896,113.9382973,17z&#x2F;data&#x3D;!3m1!4b1!4m5!3m4!1s0x3403ee17d008a019:0xbb7b06b73d856c14!8m2!3d22.5244896!4d113.9382973" rel="noopener" target="_blank"><i class="fa fa-fw fa-map-marker"></i>Map</a>
      </span>
  </div>



      </div>

    </div>
  </aside>
  <div id="sidebar-dimmer"></div>


      </div>
    </main>

    <footer class="footer">
      <div class="footer-inner">
        

<div class="copyright">
  
  &copy; 2015 – 
  <span itemprop="copyrightYear">2025</span>
  <span class="with-love">
    <i class="fa fa-heart icon-next-heart"></i>
  </span>
  <span class="author" itemprop="copyrightHolder">laudukang</span>
</div>
  <div class="powered-by">由 <a href="https://hexo.io/" class="theme-link" rel="noopener" target="_blank">Hexo</a> 强力驱动 v4.2.0
  </div>
  <span class="post-meta-divider">|</span>
  <div class="theme-info">主题 – <a href="https://muse.theme-next.org/" class="theme-link" rel="noopener" target="_blank">NexT.Muse</a> v7.7.1
  </div>

        
<div class="busuanzi-count">
  <script pjax async src="https://busuanzi.ibruce.info/busuanzi/2.3/busuanzi.pure.mini.js"></script>
</div>






  <script pjax>
  function leancloudSelector(url) {
    url = encodeURI(url);
    return document.getElementById(url).querySelector('.leancloud-visitors-count');
  }
  if (CONFIG.page.isPost) {
    function addCount(Counter) {
      var visitors = document.querySelector('.leancloud_visitors');
      var url = decodeURI(visitors.getAttribute('id'));
      var title = visitors.getAttribute('data-flag-title');

      Counter('get', `/classes/Counter?where=${JSON.stringify({ url })}`)
        .then(response => response.json())
        .then(({ results }) => {
          if (results.length > 0) {
            var counter = results[0];
              leancloudSelector(url).innerText = counter.time + 1;
            Counter('put', '/classes/Counter/' + counter.objectId, { time: { '__op': 'Increment', 'amount': 1 } })
              .then(response => response.json())
              .catch(error => {
                console.error('Failed to save visitor count', error);
              })
          } else {
              Counter('post', '/classes/Counter', { title: title, url: url, time: 1 })
                .then(response => response.json())
                .then(() => {
                  leancloudSelector(url).innerText = 1;
                })
                .catch(error => {
                  console.error('Failed to create', error);
                });
          }
        })
        .catch(error => {
          console.error('LeanCloud Counter Error', error);
        });
    }
  } else {
    function showTime(Counter) {
      var visitors = document.querySelectorAll('.leancloud_visitors');
      var entries = [...visitors].map(element => {
        return decodeURI(element.getAttribute('id'));
      });

      Counter('get', `/classes/Counter?where=${JSON.stringify({ url: { '$in': entries } })}`)
        .then(response => response.json())
        .then(({ results }) => {
          if (results.length === 0) {
            document.querySelectorAll('.leancloud_visitors .leancloud-visitors-count').forEach(element => {
              element.innerText = 0;
            });
            return;
          }
          for (let item of results) {
            let { url, time } = item;
            leancloudSelector(url).innerText = time;
          }
          for (let url of entries) {
            var element = leancloudSelector(url);
            if (element.innerText == '') {
              element.innerText = 0;
            }
          }
        })
        .catch(error => {
          console.error('LeanCloud Counter Error', error);
        });
    }
  }

  fetch('https://app-router.leancloud.cn/2/route?appId=CPfRDhOlTyfkHW155W3Kx3H1-gzGzoHsz')
    .then(response => response.json())
    .then(({ api_server }) => {
      var Counter = (method, url, data) => {
        return fetch(`https://${api_server}/1.1${url}`, {
          method: method,
          headers: {
            'X-LC-Id': 'CPfRDhOlTyfkHW155W3Kx3H1-gzGzoHsz',
            'X-LC-Key': 'TX05RQSQMd8fbL7RaJNADS7S',
            'Content-Type': 'application/json',
          },
          body: JSON.stringify(data)
        });
      };
      if (CONFIG.page.isPost) {
        if (CONFIG.hostname !== location.hostname) return;
        addCount(Counter);
      } else if (document.querySelectorAll('.post-title-link').length >= 1) {
        showTime(Counter);
      }
    });
  </script>


      </div>
    </footer>
  </div>

  
  <script src="/lib/anime.min.js"></script>
  <script src="/lib/pjax/pjax.min.js"></script>
  <script src="//cdn.jsdelivr.net/npm/jquery@3/dist/jquery.min.js"></script>
  <script src="//cdn.jsdelivr.net/gh/fancyapps/fancybox@3/dist/jquery.fancybox.min.js"></script>
  <script src="/lib/velocity/velocity.min.js"></script>
  <script src="/lib/velocity/velocity.ui.min.js"></script>

<script src="/js/utils.js"></script>

<script src="/js/motion.js"></script>


<script src="/js/schemes/muse.js"></script>


<script src="/js/next-boot.js"></script>

  <script>
var pjax = new Pjax({
  selectors: [
    'head title',
    '#page-configurations',
    '.content-wrap',
    '.post-toc-wrap',
    '#pjax'
  ],
  switches: {
    '.post-toc-wrap': Pjax.switches.innerHTML
  },
  analytics: false,
  cacheBust: false,
  scrollTo : !CONFIG.bookmark.enable
});

window.addEventListener('pjax:success', () => {
  document.querySelectorAll('script[pjax], script#page-configurations, #pjax script').forEach(element => {
    var code = element.text || element.textContent || element.innerHTML || '';
    var parent = element.parentNode;
    parent.removeChild(element);
    var script = document.createElement('script');
    if (element.id) {
      script.id = element.id;
    }
    if (element.className) {
      script.className = element.className;
    }
    if (element.type) {
      script.type = element.type;
    }
    if (element.src) {
      script.src = element.src;
      // Force synchronous loading of peripheral JS.
      script.async = false;
    }
    if (element.getAttribute('pjax') !== null) {
      script.setAttribute('pjax', '');
    }
    if (code !== '') {
      script.appendChild(document.createTextNode(code));
    }
    parent.appendChild(script);
  });
  NexT.boot.refresh();
  // Define Motion Sequence & Bootstrap Motion.
  if (CONFIG.motion.enable) {
    NexT.motion.integrator
      .init()
      .add(NexT.motion.middleWares.subMenu)
      .add(NexT.motion.middleWares.postList)
      .bootstrap();
  }
  NexT.utils.updateSidebarPosition();
});
</script>




  















    <div id="pjax">
  

  
<script>window.va = window.va || function () { (window.vaq = window.vaq || []).push(arguments); };</script><script defer src="/_vercel/insights/script.js" data-endpoint="/this-is-vercel-insights"></script><script>window.si = window.si || function () { (window.siq = window.siq || []).push(arguments); };</script><script defer src="/_vercel/speed-insights/script.js" data-endpoint="/this-is-vercel-insights-speed"></script>
    </div>
</body>
</html>
